{"id":20793,"date":"2023-07-05T16:36:45","date_gmt":"2023-07-05T14:36:45","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20793"},"modified":"2023-07-05T16:38:46","modified_gmt":"2023-07-05T14:38:46","slug":"how-to-protect-ram","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/how-to-protect-ram\/20793\/","title":{"rendered":"Comment prot\u00e9ger les secrets de la RAM"},"content":{"rendered":"<p>Les d\u00e9veloppeurs du gestionnaire de mots de passe KeePass ont r\u00e9cemment corrig\u00e9 une vuln\u00e9rabilit\u00e9 qui permettait <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-32784\" target=\"_blank\" rel=\"nofollow noopener\">d\u2019extraire le mot de passe principal de la RAM<\/a>, o\u00f9 il \u00e9tait stock\u00e9 en texte brut. De m\u00eame, les fragments d\u2019autres informations importantes, comme les messages r\u00e9cents ou les donn\u00e9es des bases de donn\u00e9es d\u2019entreprise, pouvaient \u00eatre tir\u00e9es de la m\u00e9moire. Les d\u00e9veloppeurs de KeePass ont rapidement trouv\u00e9 une solution peu orthodoxe au probl\u00e8me. Pourtant, la plupart des mots de passe des applications sont encore stock\u00e9s en texte brut dans la RAM, ce qui fait que les syst\u00e8mes de s\u00e9curit\u00e9 ont une faiblesse g\u00e9n\u00e9ralis\u00e9e et courante.<\/p>\n<p>Une attaque de la m\u00e9moire semble originale et complexe alors qu\u2019en r\u00e9alit\u00e9 les cybercriminels peuvent assez facilement r\u00e9ussir \u00e0 en lancer une, surtout si les administrateurs n\u2019adoptent pas des mesures de protection sp\u00e9ciales.<\/p>\n<h2>Comment quelqu\u2019un peut acc\u00e9der \u00e0 la m\u00e9moire de l\u2019ordinateur<\/h2>\n<p>Le syst\u00e8me d\u2019exploitation et l\u2019hyperviseur isolent en grande partie les zones de la RAM qu\u2019exploitent les diff\u00e9rentes applications. Il est donc impossible de lire un fragment de la m\u00e9moire au sein duquel une autre application s\u2019ex\u00e9cute. Pourtant, les processus avec des privil\u00e8ges noyau peuvent le faire (<em>system<\/em> sous Windows et <em>root<\/em> sous *nix). Plusieurs m\u00e9thodes permettent <a href=\"https:\/\/www.kaspersky.fr\/blog\/nokoyawa-zero-day-exploit\/20439\/\" target=\"_blank\" rel=\"nofollow noopener\">d\u2019\u00e9lever les privil\u00e8ges<\/a> au niveau requis, mais la plus courante consiste \u00e0 exploiter les vuln\u00e9rabilit\u00e9s du syst\u00e8me d\u2019exploitation ou des <a href=\"https:\/\/www.kaspersky.fr\/blog\/genshin-driver-attack\/19468\/\" target=\"_blank\" rel=\"noopener\">pilotes de l\u2019appareil<\/a>.<\/p>\n<p>Une autre technique permet d\u2019acc\u00e9der \u00e0 la RAM\u00a0: <a href=\"https:\/\/www.kroll.com\/en\/insights\/publications\/cyber\/what-is-dma-attack-understanding-mitigating-threat\" target=\"_blank\" rel=\"nofollow noopener\">l\u2019attaque DMA<\/a>. Ce genre d\u2019attaque repose sur le fait que les interfaces \u00e0 grande vitesse (USB 4.0, Thunderbolt, Firewire, etc.) ont un acc\u00e8s direct \u00e0 la m\u00e9moire pour acc\u00e9l\u00e9rer les processus I\/O. Un appareil sp\u00e9cialement con\u00e7u peut abuser de cette fonctionnalit\u00e9 pour lire n\u2019importe quel octet de m\u00e9moire\u00a0; et cette menace n\u2019est pas qu\u2019hypoth\u00e9tique puisqu\u2019il y a d\u00e9j\u00e0 eu des cas r\u00e9els\u00a0: <a href=\"https:\/\/en.wikipedia.org\/wiki\/DMA_attack\" target=\"_blank\" rel=\"nofollow noopener\">FinFireWire<\/a>.<\/p>\n<p>C\u2019est aussi faisable sans appareil sophistiqu\u00e9 et sans vuln\u00e9rabilit\u00e9. Comme le syst\u00e8me d\u2019exploitation \u00e9crit le contenu de la RAM dans des fichiers, ces informations peuvent \u00eatre consult\u00e9es tout simplement en lisant ces fichiers.<\/p>\n<p>Plusieurs fichiers de ce type existent sous Windows\u00a0:<\/p>\n<ul>\n<li>les fichiers d\u2019\u00e9change temporaire (pagefile.sys)<\/li>\n<li>les fichiers de sauvegarde de la veille prolong\u00e9e (hiberfil.sys)<\/li>\n<li>des vidages de m\u00e9moire en cas d\u2019incident ou de plantage (memory.dmp, minidump). Ces fichiers peuvent \u00eatre g\u00e9n\u00e9r\u00e9s <a href=\"https:\/\/learn.microsoft.com\/fr-fr\/troubleshoot\/windows-client\/performance\/generate-a-kernel-or-complete-crash-dump\" target=\"_blank\" rel=\"nofollow noopener\">manuellement<\/a>.<\/li>\n<\/ul>\n<p>Sous Linux, les fichiers d\u2019\u00e9change et de veille prolong\u00e9e utilisent une partition partag\u00e9e du disque sp\u00e9cialement con\u00e7ue \u00e0 ces fins.<\/p>\n<p>Il faut g\u00e9n\u00e9ralement avoir physiquement acc\u00e8s \u00e0 l\u2019ordinateur pour ouvrir un de ces fichiers, mais il n\u2019est pas n\u00e9cessaire de conna\u00eetre les identifiants de connexion ou d\u2019allumer l\u2019appareil. Vous pouvez simplement retirer le disque dur et le lire sur un autre ordinateur.<\/p>\n<h2>Comment \u00e9viter une attaque de la m\u00e9moire<\/h2>\n<p>\u00c9tant donn\u00e9 que plusieurs m\u00e9thodes peuvent \u00eatre utilis\u00e9es pour acc\u00e9der \u00e0 la m\u00e9moire, vous devez vous prot\u00e9ger \u00e0 plusieurs niveaux en m\u00eame temps. Certaines pr\u00e9cautions ne sont pas agr\u00e9ables pour les utilisateurs et, avant de les appliquer, vous devez envisager les sc\u00e9narios d\u2019utilisation de chaque ordinateur au sein de votre entreprise et \u00e9valuer les risques.<\/p>\n<h3>Des mesures directes<\/h3>\n<p>Commen\u00e7ons par certaines mesures relativement simples conseill\u00e9es dans tous les cas.<\/p>\n<ul>\n<li><strong>Suivez le principe du moindre privil\u00e8ge.<\/strong> Tous les utilisateurs devraient travailler sans avoir des droits d\u2019administrateur. M\u00eame les administrateurs ne devraient avoir de tels privil\u00e8ges que pendant les proc\u00e9dures d\u2019entretien et que lorsque c\u2019est vraiment n\u00e9cessaire.<\/li>\n<li><strong>D\u00e9ployez des syst\u00e8mes de protection<\/strong> sur tous les ordinateurs physiques et virtuels. Les entreprises doivent avoir des <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/edr-security-software-solution?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">syst\u00e8mes EDR<\/a>. Assurez-vous que les politiques de s\u00e9curit\u00e9 emp\u00eachent les employ\u00e9s d\u2019ex\u00e9cuter des outils l\u00e9gitimes mais potentiellement dangereux puisqu\u2019ils pourraient \u00eatre utilis\u00e9s pour \u00e9lever les privil\u00e8ges ou vider la m\u00e9moire (Sysinternals, PowerShell, pilotes inutiles ou obsol\u00e8tes, etc.).<\/li>\n<li>V\u00e9rifiez que le syst\u00e8me d\u2019exploitation et toutes les applications importantes <strong>sont \u00e0 jour<\/strong>.<\/li>\n<li><strong>Assurez-vous que les ordinateurs d\u00e9marrent en mode UEFI et non en BIOS<\/strong>. Mettez r\u00e9guli\u00e8rement le microprogramme UEFI \u00e0 jour sur tous les ordinateurs.<\/li>\n<li><strong>Configurez et s\u00e9curisez les param\u00e8tres UEFI<\/strong>. D\u00e9sactivez l\u2019unit\u00e9 de\u00a0gestion\u00a0de la\u00a0m\u00e9moire\u00a0Input-Output (IOMMU) pour \u00e9viter les attaques DMA. Prot\u00e9gez l\u2019UEFI \u00e0 l\u2019aide d\u2019un mot de passe et choisissez le bon d\u00e9marrage du syst\u00e8me d\u2019exploitation pour r\u00e9duire les risques et \u00e9viter que le syst\u00e8me ne soit d\u00e9marr\u00e9 \u00e0 partir d\u2019un m\u00e9dia externe malveillant et que les param\u00e8tres ne soient modifi\u00e9s et non s\u00e9curis\u00e9s. Les fonctionnalit\u00e9s <em>D\u00e9marrage s\u00e9curis\u00e9<\/em> et <em>D\u00e9marrage approuv\u00e9<\/em> emp\u00eachent aussi l\u2019ex\u00e9cution d\u2019un code non approuv\u00e9 du syst\u00e8me d\u2019exploitation.<\/li>\n<\/ul>\n<h2>Des mesures ambigu\u00ebs<\/h2>\n<p>Toutes les mesures mentionn\u00e9es dans la partie pr\u00e9c\u00e9dente am\u00e9liorent la s\u00e9curit\u00e9 du syst\u00e8me de fa\u00e7on significative mais affecte parfois n\u00e9gativement les performances de l\u2019ordinateur, la facilit\u00e9 d\u2019utilisation et\/ou les capacit\u00e9s de r\u00e9cup\u00e9ration en cas d\u2019incident. Toutes doivent \u00eatre soigneusement prises en consid\u00e9ration en fonction des r\u00f4les sp\u00e9cifiques au sein de l\u2019entreprise, et leur mise en place requiert une grande pr\u00e9cision et un d\u00e9ploiement par phase avec des tests approfondis.<\/p>\n<ul>\n<li>Le <strong>stockage des cl\u00e9s sur les appareils<\/strong> TPM 2.0. Le module de plateforme s\u00e9curis\u00e9e offre une authentification s\u00e9curis\u00e9e du syst\u00e8me d\u2019exploitation, utilise la biom\u00e9trie pour la connexion au compte et rend plus difficile l\u2019extraction de la cl\u00e9. Le module TPM renforce de fa\u00e7on significative la protection fournie par le chiffrement complet du disque puisque les cl\u00e9s sont stock\u00e9es dans le module. <strong>Risques potentiels\u00a0:<\/strong> certains ordinateurs n\u2019ont pas de module TPM\u00a0; le syst\u00e8me d\u2019exploitation et le syst\u00e8me informatique sont incompatibles\u00a0; difficult\u00e9s avec la gestion centralis\u00e9e des cl\u00e9s (\u00e0 cause des divers syst\u00e8mes et des diff\u00e9rentes versions du module TPM).<\/li>\n<li><strong>Le chiffrement complet du disque.<\/strong> Cette mesure r\u00e9duit drastiquement le risque de fuite des donn\u00e9es, surtout lorsque les ordinateurs portables sont perdus ou vol\u00e9s. Nous le conseillons aussi aux entreprises qui ne craignent pas une attaque de la m\u00e9moire. <a href=\"https:\/\/learn.microsoft.com\/fr-fr\/windows\/security\/operating-system-security\/data-protection\/bitlocker\/\" target=\"_blank\" rel=\"nofollow noopener\">BitLocker<\/a> est l\u2019impl\u00e9mentation native de Microsoft mais il y a aussi des solutions tierces. Nous retrouvons le chiffrement complet du disque (FDE) dans de nombreux syst\u00e8mes bas\u00e9s sur Linux, dont les <a href=\"https:\/\/ubuntu.com\/core\/docs\/uc20\/full-disk-encryption\" target=\"_blank\" rel=\"nofollow noopener\">versions 20 et ult\u00e9rieures d\u2019Ubuntu<\/a>, et il repose g\u00e9n\u00e9ralement sur <a href=\"https:\/\/www.redhat.com\/sysadmin\/disk-encryption-luks\" target=\"_blank\" rel=\"nofollow noopener\">LUKS<\/a>. L\u2019association du module TPM et du chiffrement complet du disque fournit une fiabilit\u00e9 maximale. <strong>Risques potentiels\u00a0: <\/strong>en cas de bug important, vous ne pouvez rien restaurer du disque. Il est donc indispensable d\u2019avoir un syst\u00e8me de sauvegarde qui fonctionne \u00e0 la perfection. Les performances du disque sont parfois fortement ralenties, surtout lorsque l\u2019ordinateur s\u2019allume.<\/li>\n<li><strong>La d\u00e9sactivation du mode veille.<\/strong> Si vous d\u00e9sactivez le mode veille et ne gardez que le mode veille prolong\u00e9e, les moments o\u00f9 les cybercriminels peuvent acc\u00e9der \u00e0 un ordinateur d\u00e9marr\u00e9, partiellement d\u00e9chiffr\u00e9 et vuln\u00e9rable aux attaques DMA et aux autres m\u00e9thodes sont extr\u00eamement rares. <strong>L\u2019inconv\u00e9nient de cette solution<\/strong> est \u00e9vident puisque le mode veille est l\u2019option la plus rapide et la plus pratique pour \u00ab\u00a0\u00e9teindre\u00a0\u00bb l\u2019ordinateur apr\u00e8s le travail ou lorsque l\u2019emplacement change dans les bureaux. Si vous d\u00e9cidez de suivre cette strat\u00e9gie, utilisez toujours le chiffrement complet du disque. D\u2019autre part, les employ\u00e9s vont s\u00fbrement utiliser le mode veille prolong\u00e9e et le fichier de veille prolong\u00e9e sera sans d\u00e9fense face aux attaques.<\/li>\n<li><strong>La d\u00e9sactivation du mode veille prolong\u00e9e.<\/strong> Si vous d\u00e9sactivez le mode veille prolong\u00e9e, une image de la m\u00e9moire ne peut pas \u00eatre copi\u00e9e \u00e0 partir d\u2019un fichier lorsque l\u2019ordinateur est \u00e9teint. Vous pouvez d\u00e9sactiver les modes veille et veille prolong\u00e9e pour les ordinateurs les plus critiques\u00a0; il n\u2019est possible que de les \u00e9teindre. L\u2019utilisation du chiffrement complet du disque, du module TPM et d\u2019autres mesures rend presque impossible une attaque de la m\u00e9moire. Dans ce cas, les utilisateurs font face \u00e0 de nombreux inconv\u00e9nients. C\u2019est pourquoi il convient de r\u00e9fl\u00e9chir s\u00e9rieusement aux cas qui justifient une telle approche.<\/li>\n<\/ul>\n<h2>Faire preuve de franchise<\/h2>\n<p>Si vous consid\u00e9rez qu\u2019il est n\u00e9cessaire de d\u00e9sactiver les modes veille ou veille prolong\u00e9e pour am\u00e9liorer la s\u00e9curit\u00e9, analysez minutieusement pour quels utilisateurs cette politique doit \u00eatre renforc\u00e9e. Il est peu probable que cela concerne 100 % de vos employ\u00e9s\u00a0; cela ne s\u2019applique s\u00fbrement qu\u2019\u00e0 ceux qui ont acc\u00e8s \u00e0 des informations sensibles. Vous devez leur expliquer que les mots de passe et autres donn\u00e9es peuvent \u00eatre vol\u00e9s de diverses fa\u00e7ons, et que l\u2019utilisation d\u2019un antivirus ou la non-consultation de certains sites ne suffisent pas \u00e0 \u00e9viter les incidents de s\u00e9curit\u00e9 graves.<\/p>\n<p>Il serait int\u00e9ressant d\u2019expliquer bri\u00e8vement chaque mesure de s\u00e9curit\u00e9 et leur objectif aux employ\u00e9s. Le chiffrement complet du disque vous prot\u00e8ge contre la copie simple des donn\u00e9es d\u2019un ordinateur perdu ou vol\u00e9, et contre les attaques de type \u00ab\u00a0<a href=\"https:\/\/www.kaspersky.fr\/blog\/evil-maid-attack\/16092\/\" target=\"_blank\" rel=\"nofollow noopener\">Evil Maid<\/a>\u00ab\u00a0, c\u2019est-\u00e0-dire lorsqu\u2019un \u00e9tranger peut physiquement acc\u00e9der \u00e0 l\u2019appareil. La d\u00e9sactivation des modes veille et veille prolong\u00e9e renforce ces d\u00e9fenses. Il est pr\u00e9f\u00e9rable de perdre cinq minutes lorsque l\u2019ordinateur s\u2019allume ou s\u2019\u00e9teint et de garantir qu\u2019un employ\u00e9 ne sera pas accus\u00e9 si son mot de passe est utilis\u00e9 lors d\u2019une attaque informatique.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kasap\">\n","protected":false},"excerpt":{"rendered":"<p>Qu&rsquo;est-ce qui peut \u00eatre vol\u00e9 dans la RAM, et quel est le rapport avec hiberfil.sys ?<\/p>\n","protected":false},"author":2722,"featured_media":20794,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,686],"tags":[28,623,1155,204,205,4347,632,4013,4402,23],"class_list":{"0":"post-20793","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-threats","10":"tag-attaques","11":"tag-linux","12":"tag-memoire","13":"tag-menaces","14":"tag-mots-de-passe","15":"tag-ram","16":"tag-technologies","17":"tag-uefi","18":"tag-vidage","19":"tag-windows"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/how-to-protect-ram\/20793\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/how-to-protect-ram\/25844\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/how-to-protect-ram\/21285\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/how-to-protect-ram\/28542\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/how-to-protect-ram\/26143\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/how-to-protect-ram\/26487\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/how-to-protect-ram\/28964\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/how-to-protect-ram\/35642\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/how-to-protect-ram\/48518\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/how-to-protect-ram\/21495\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/how-to-protect-ram\/30302\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/how-to-protect-ram\/26456\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/how-to-protect-ram\/32153\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/how-to-protect-ram\/31837\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/ram\/","name":"RAM"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20793","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=20793"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20793\/revisions"}],"predecessor-version":[{"id":20796,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20793\/revisions\/20796"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/20794"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=20793"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=20793"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=20793"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}